这是一个创建于 170 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景
最近公司 web 应用系统(部署在 aliyun )被攻击。索性以前做过等保也或许是因为发现的及时,ban 了对方 ip ,所以没出啥事儿。但事后复盘还是有点不爽,想问问诸位大佬,在安全、风控之类的事情上是怎么做的。
疑问
-
我该如何通过已有的对方 ip 知道对方是什么样的公司 or 人(目前 aliyun 已经反馈那一批 ip 都是一个公司的,但涉及隐私,无法告知公司名称)。结合一些对方渗透的手段,我们怀疑可能跟公司内部信息泄露(比如离职员工)有关,所以比较好奇对方的信息。不过这个好像涉及黑产了,应该正常渠道是获取不到的,如果有门路的老哥,可以提点下老弟。
-
大家有用到哪些封控产品或者阅读过哪些和风控 or 监控 or 安全相关的文章,欢迎分享。
- 我知道的 aliyun 有 WAF (应用防火墙),不过在上述事情上面,waf 没有发挥任何作用。。。
- 还有一些比如类似代理的产品(就是流量会经过它,它会对 ip 进行甄别),好像也都没啥用,感觉还是得有一套针对用户行为分析的东西。
第 1 条附言 · 170 天前
Q&A
- @whileFalse 絮絮叨叨这么多也没说是什么攻击
我的,我特意写了 web 服务,想省事少码几个字,看来还是想多了。攻击基本都有覆盖,我说几个他们量比较大的:密码暴力破解(有些管理系统没有用动态口令登录)、路径遍历、注入(脚本和 sql)、还有一些软件的低版本漏洞
第 2 条附言 · 170 天前
- @billzhuang 可以让阿里云看看,WAF 为什么没有拦截这些请求。
这个我没说清楚,就是比如一些常见的规则,waf 是可以的,这里我举个例子,假设某个网站为了防止爬虫,它有个简单规则比如 qps <1000 /s,如果大于就屏蔽 ip or 用户一段时间。这是我是攻击者,我按照 100qps 进行爬虫,我就是正常的用户。我表达的是,waf 是通配的基础规则,针对每家公司特殊的要求好像还是得自己设计。
第 3 条附言 · 170 天前
安全攻击类型分布
其他 29.59%
代码执行 21.01%
本地文件包含 20.46%
SOL 注入 17.03%
webshell 11.83%
跨站脚本 0.08%
其他 29.59%
代码执行 21.01%
本地文件包含 20.46%
SOL 注入 17.03%
webshell 11.83%
跨站脚本 0.08%
第 4 条附言 · 170 天前
我在描述的时候其实把两个问题混着说了,就是我们部分应用是不在 waf 的保护范围内的,而这些应用被对方扫描到了,然后发起攻击,服务器打过来了好多流量,带宽翻了几番。
所以解决办法很简单,要不要把这些应用也加到 waf 里面。
然后业务上的一些规则,还是得看自己业务需求然后定制风控逻辑,然后这一点想问问大家有啥推荐的工具算法啥的,比如策略引擎之类的。
感谢大家回复
所以解决办法很简单,要不要把这些应用也加到 waf 里面。
然后业务上的一些规则,还是得看自己业务需求然后定制风控逻辑,然后这一点想问问大家有啥推荐的工具算法啥的,比如策略引擎之类的。
感谢大家回复
第 5 条附言 · 169 天前
此贴完结:
今天得知是客户请了专业公司在搞攻防演练,因为我们部分服务嵌入在对方应用,所以人家攻防演练时把我们也捎带了,那几个 ip 是那个公司的 ip 。。。
今天得知是客户请了专业公司在搞攻防演练,因为我们部分服务嵌入在对方应用,所以人家攻防演练时把我们也捎带了,那几个 ip 是那个公司的 ip 。。。
39 条回复 • 2024-05-16 13:19:50 +08:00
 |
1
billzhuang 170 天前 via iPhone
可以让阿里云看看,WAF 为什么没有拦截这些请求。
|
 |
2
whileFalse 170 天前 via Android  2
絮絮叨叨这么多也没说是什么攻击
|
 |
3
lxh1983 170 天前 via iPhone
公司是自己的吗?是的话也可以去找黑产搞回去。不是的话,那是老板给你的工作量不够,看你闲的
|
 |
4
boseqc35 170 天前
waf 是可以 bypass 的,建议找白帽给你们做一波渗透,该补补,该修修
|
 |
9
xguanren 170 天前
你要知道他做了什么 才能去做防护手段呀.先打好日志.做好蜜罐,看看对方究竟是使用了什么手段吧.因为你没有说对方究竟是干了什么.是爬取信息了还是入侵 攻击你们了.还是 ddos cc 你们了..对方不出拳.你去猜测对方使用了什么功法.你怎么知道呢...无非就是前期上一些通用规则呗.就好像你说的 aliyun 的 waf 经过很多年发展.内置了一套模型去甄别.但是具体还是要看你们公司遭遇了什么
|
 |
10
CloudMx 170 天前
感觉就是扫描器在扫你们...
|
 |
11
aqqwiyth 170 天前
访问日志 包括 IP 时间记录一下 , 有时候会有叔叔上门问你.
( 一年公司一个业务前因为被攻击, 然后去年底叔叔说抓到一个团伙发现有你们被攻击的痕迹 是否可以提供证据, 损失 可以追偿) |
 |
12
nerocho OP 嗯,记录都有的。
|
 |
13
izoabr 170 天前
可以报警吧
|
 |
15
F7TsdQL45E0jmoiG 170 天前
除非特别有针对性的编写 WAF 的策略,否则就当没有 WAF
|
|
16
whileFalse 170 天前 via Android
我对 aws waf 比较熟,aws 中暴力破解可以用访问频率限制防住,注入可以用标准的反注入规则防,路径遍历和漏洞基本就不归 waf 管了,但可以通过 ip 白名单等其他方式提高安全性。能防住的这些也要根据你的业务去针对性的设置并根据 waf 日志不断调整,安全层面的东西不是一蹴而就的,你面对的攻击者是活人。
|
 |
17
lovegoogle 170 天前
@lxh1983 你这个回答几乎可以用在任何一个回答上,就和废话一样...
|
 |
18
x86 170 天前
ddos 打回去
|
 |
19
Arumoh 170 天前
我觉得就是普通扫描器扫描吧,这个很常见,对方攻击没必要暴露公司 ip 吧,至少用个跳板,那堆攻击 ip 说不定是肉鸡
|
 |
20
dododada 169 天前
如果确认是被攻击了,直接报警就行了,网安会处理的;
但是攻击源只有一个?这个就太奇怪了 如果是流量攻击,可以上按需上高防,不过腾讯的高防真的很贵 |
 |
21
hnliuzesen 169 天前
昨天看到 B 站上有人推荐 雷池 WAF 的,社区版开源免费,看介绍感觉挺厉害的,可以试试
|
 |
22
cnevil 169 天前
从你这看 只是常规公网的一个扫描 你很难找到对应的人
没有造成损失的话警察应该也不会搭理你 |
|
23
nerocho OP @hnliuzesen 谢谢,我去瞅瞅
|
 |
24
W4J1e 169 天前
看到结尾绷不住了,哈哈哈哈哈哈哈哈
|
 |
25
null2error 169 天前
能不能对结尾单独点赞?
|
 |
26
niucang 169 天前
有始有终,挺好
|
 |
27
motorw 169 天前
看到最后真绷不住
|
 |
28
tangmanger 169 天前
创建个蜜罐 让他进来
|
 |
29
ZnductR0MjHvjRQ3 169 天前
讲道理 如果看到是同一个 ip 的攻击一般不会是正常黑客攻击 ,web 攻防渗透第一课,隐藏自己
|
 |
30
cat1879 169 天前
哎,打补丁,加认证。多加一层。没办法
|
 |
31
zzzlight 169 天前
笑死,直接看到最后一个补充,乐了。
|
|
32
dododada 169 天前
最后这个攻防演练,严格来讲,签合同的时候要写清楚各种服务授权,如果你们没有授权对方对你们的接口做攻防演练这种操作,对方是不能做的
|
 |
33
billwang 169 天前
等保,攻防演练,一看就是企事业单位了。
|
 |
34
gscsnm 169 天前
现在每年都有大型演练。
客户自己先自行查,很正常。 |
 |
35
zhanghk668 169 天前
這明顯是掃描的樣子呀
|
 |
36
porrt8 169 天前
还没来得及学到什么,这贴就结束了 xs
|
 |
37
dfdd1811 169 天前
哈哈,一般这种大范围的,攻击方面很全,而且精准攻击所有机器的,可能都是在演练,要么就是安全部门自己做的。外面的扫描一般一两种扫描,而且也就扫到一个两个机器,不会大面积的
|
Select Language